首先先准备一下实验环境;
开三台虚拟机,一台做防火墙,要有双网卡,一台做内网服务器,在这个服务器上有WWW服务和FTP服务,一台做外网主机。将内网服务器和防火墙的内网网卡设置在同一个区域VM2中,将外网主机和防火墙的外网网卡设置同一个区域名VM3中。
FIREAWLL内网网卡ip:192.168.100.1
外网网卡ip:192.168.1.1
内网服务器ip: 192.168.100.2 (网关指向 192.168.100.1)
外网主机ip: 192.168.1.2 (网关指向192.168.1.1)
(当然现实使用中,内网WWW,FTP服务器可能有很多个,所以就把规则具体到内网192.168.100.0这个网段,外网就假设客户机都在192.168.1.0这个网段,这样规则看起来比较清晰,容易理解)
现在FIREWALL上开启路由功能,让整个网络可以通信。
在外网主机上测试一下:
#ping 192.168.100.2
在内网服务器上测试
#ping 192.168.1.2
现在整个网络已经通了,测试一下内网服务器的WWW服务和FTP服务。
在外网客户机上访问内网服务器
#elinks 192.168.100.2
#ftp 192.168.100.2
因为现在防火墙的默认策略是ACCEPT,所以外网可以访问内网。
好了,现在开始配置我们的FIREWALL,来让我们的内网安全起来。
首先修改一下防火墙的默认策略
好了,现在再在外网上反问内网服务器,应该不能访问了,测试一下哈!
现在WWW和FTP服务都访问不了了!
当然防火墙不能这样配置了,那样所有的服务都被拒绝了。
首先咱先来开启WWW服务
在FIREWALL上添加规则
#iptables –A FORWARD –s 192.168.1.0/24 –d 192.168.100.0/24 –p tcp - -dport 80 –m state - -state NEW,ESTABLISHED –j ACCEPT
#iptables –A FORWARD –d 192.168.1.0/24 –s 192.168.100.0/24 –p tcp - -sport 80 –m state - -state ESTABLISHED –j ACCEPT
在外网主机上测试一下
现在已经可以访问WWW服务了。这样外网192.168.10.0网段的主机就可以访问WWW服务了,而且是在安全的情况下。
继续添加规则,让外网主机也能访问内网的FTP服务
#iptables –A FORWARD –s 192.168.1.0/24 –d 192.168.100.0/24 –p tcp - -dport 21 –m state - -state NEW,ESTABLISHED –j ACCEPT
#iptables –A FORWARD –d 192.168.1.0/24 -s 192.168.100.0/24 –p tcp - -sport 21 –m state - -state ESTABLISHED –j ACCEPT
#iptables –A FORWARD –m –state - -state ESTABLISHED,RELEATED –j ACCEPT
在外网客户端上测试一下
#ftp 192.168.100.2
好了现在外网客户机已经可以访问FTP服务了,而且是在安全的情况下。
为啥说安全呢,因为外网只能访问内网的WWW,FTP服务,其他的服务还都是禁止的。
例如:telnet,ssh,甚至都不能ping内网的服务器
阅读(1282) | 评论(0) | 转发(0) |
